Até onde vai a proteção do utilizador perante as operações não autorizadas?

Nos dias de hoje, é crescente a disponibilização de instrumentos de pagamento cada vez mais sofisticados, com uma forte oferta no âmbito da sua utilização online e mediante dispositivos móveis. Apesar disso, importa que o utilizador de tais meios de pagamento tenha capacidade para entender o seu funcionamento, devendo o instrumento disponibilizado ser adequado ao seu discernimento, de modo a que possa utilizá-lo cuidadosamente e evitar tentativas de fraude. Esta ponderação não poderá deixar de advir do prestador de serviços de pagamento, que deverá ter capacidade para conhecer o seu cliente e adequar a promoção que faz dos seus serviços junto do mesmo.

Ainda assim, importa ter presente que o nosso Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME) determina que sobre o utilizador recaem vários deveres de segurança que são importantes para aferir se a operação, embora não autorizada pelo utilizador, é-lhe imputável por os ter incumprido de forma negligente ou intencional, implicando que sofra as perdas resultantes de tal operação (artigo 110.º do RJSPME). Portanto, deverá o utilizador usar o instrumento de pagamento (v.g. homebanking) de acordo com as condições – comunicadas pelo banco – que regem a sua emissão e utilização. Deverá, para o efeito, manter a suas credenciais de acesso ao instrumento – código do cartão, utilizador e palavra-passe de acesso ao homebanking – em segurança, o que implica que tais dados não deverão ser, desnecessariamente, comunicados a terceiros nem constarem gravados junto do instrumento, como será o caso de um papel com o código do cartão na carteira ou a palavra-passe gravada nas notas do telemóvel quando também tem a aplicação móvel de acesso à sua conta online. Acresce, com especial incidência no âmbito destas operações não autorizadas, a obrigação de o utilizador comunicar ao seu banco, logo que tenha conhecimento, a perda, furto, roubo, apropriação abusiva ou a utilização não autorizada do instrumento de pagamento. Ou seja, ainda que não tenha existido uma operação não autorizada, o utilizador não deixa de estar obrigado a informar que o instrumento já não se encontra na sua posse ou que houve apropriação das suas credenciais de acesso (v.g. mediante uma prática fraudulenta de phishing ou pharming). Por outro lado, caso o prestador do serviço não forneça meios adequados para o utilizador realizar essa comunicação, será integralmente responsável pelas perdas que o último sofrer.

A partir do momento em que o utilizador comunica a apropriação indevida do meio de pagamento ou a existência de operações não autorizadas, o banco encontra-se obrigado a impedir que exista qualquer utilização posterior do mesmo instrumento (artigo 115.º, n.º 7, do RJSPME). Pelo que, quaisquer operações realizadas após essa comunicação serão sempre da responsabilidade do prestador, devendo reembolsar o cliente por tais perdas. Compete igualmente ao prestador fornecer prova de que a operação de pagamento que o utilizador invoca como não autorizada, foi devidamente registada e contabilizada no seu sistema e que não foi afetada por qualquer avaria técnica ou deficiência da sua parte. Em termos semelhantes, caso haja intervenção de um prestador terceiro – isto é, diferente do que gere e mantém a conta do utilizador -, como é o caso dos serviços que visam iniciar as operações em substituição do utilizador no comércio eletrónico, caberá a este provar a regularidade da operação, sob pena da sua responsabilidade (artigo 113.º do RJSPME).

Importa referir que ainda que o banco consiga demonstrar que a operação foi efetuada corretamente e não foi afeta por qualquer anomalia, tal facto não é suficiente, por si só, para provar que o utilizador foi negligente, agiu com dolo ou de forma fraudulenta – situações que são importantes para que o banco possa afastar – ou diminuir – a sua responsabilidade na ressarcibilidade dos danos. Por isso, para que o banco possa imputar quaisquer perdas ao utilizador, terá de fornecer elementos que demonstrem a existência de fraude, dolo ou negligência grosseira por parte do cliente.

Um dos aspetos cruciais da proteção do utilizador é o facto de o banco encontrar-se obrigado a reembolsar, até ao final do primeiro dia útil seguinte àquele a que o utilizador comunicou a operação não autorizada ou do que teve conhecimento, o montante da operação não autorizada (artigo 114.º, n.º 1, do RJSPME). Só assim não será se o banco tiver motivos razoáveis para suspeitar que o cliente atuou de forma fraudulenta, visando obter um benefício ilegítimo. Para o poder fazer terá de comunicar as suas razões às autoridades judiciárias, não bastando que as invoque perante o utilizador como forma de se eximir ao reembolso imediato. O reembolso pressupõe que o prestador coloque a conta bancária na mesma situação em que estaria se a operação de pagamento não autorizada não tivesse acontecido, não podendo, para o efeito, deduzir quaisquer comissões. O direito de reembolso imediato do utilizador permanece ainda que a operação não autorizada tenha sido iniciada por um terceiro prestador.

Apesar do exposto, e em segundo plano, o utilizador poderá suportar prejuízos até ao limite de 50 Euros nos casos de operações não autorizadas que se devam à sua conduta levemente negligente (artigo 115.º, n.º 1, do RJSPME). Parece-nos que o regime não vem determinar uma distribuição objetiva das perdas uma vez que determina que o utilizador não é responsável até o limite referido se este não poderia ter detetado a apropriação do seu instrumento de pagamento antes da realização da operação não autorizada, pelo que é de assumir que agiu com zelo e prudência e, por isso, não se poderá censurar a sua atuação. Diferentemente, caso o utilizador haja de forma grosseiramente negligente – e tal facto seja provado pelo seu prestador – poderá sofrer as perdas resultantes até ao limite do seu saldo disponível, ainda que superior a 50 Euros. Nesta hipótese entrará as situações em que o utilizador armazena no mesmo sítio o instrumento de pagamento e os respetivos dados de acesso/utilização.

            Diferentemente, mesmo que o utilizador seja grosseiramente negligente ou tenha incumprido, intencionalmente, com os deveres de segurança em relação à utilização do instrumento de pagamento, o utilizador não suportará quaisquer perdas caso o banco não tenha exigido autenticação forte para a realização da referida operação (artigo 115.º, n.º 5, do RJSPME), isto é, não tenha recorrido a um procedimento de verificação da identidade do utilizador que se baseie na utilização de dois ou mais elementos pertences às categorias conhecimento (algo que só o utilizador conhece), posse (algo que só o utilizador possui) e inerência (algo que o utilizador é), bem como, no caso de operações remotas – ordenadas pela internet – , não tenha exigido uma ligação dinâmica que associe a operação ao montante a transferir e ao específico beneficiário, como é o caso de mensagem de texto enviada para o número de telemóvel associado à conta com um código de inserção obrigatória na aplicação do homebanking.

Por fim, sobre esse aspeto, levanta-se a dúvida de saber se tal responsabilidade permanece nos casos em que o prestador do serviço socorre-se das isenções previstas no Regulamento Delegado (UE) 2018/389 da Comissão, de 27 de novembro de 2017, e, por isso, não aplicou uma autenticação reforçada ao utilizador. As isenções previstas permitem ao prestador isentar o utilizador de um procedimento mais demorado de autenticação, de modo a permitir um uso prático e eficiente dos serviços, mas não impõem que o mesmo aplique essas isenções. Cabe, a cada prestador que gere uma conta de pagamento, ponderar e deliberar sobre os custos e benefícios da não aplicação da autenticação forte. É por tal ausência de autenticação derivar de uma decisão e ponderação pessoal do prestador que tendemos a assumir que o mesmo continua a ser responsável pelas perdas quando a não aplicação da autenticação dá-se ao abrigo de umas das isenções previstas. Nestes casos, a responsabilidade do prestador contende com a distribuição do risco, configurando-se como uma responsabilidade objetiva, uma vez que o prestador é aquele que cria e controla a atividade – e o risco que dela advém – que desenvolve em seu benefício – e vai em consonância com o espírito da imputação das perdas ao prestador nos casos de não censura do utilizador e de negligência leve.

O art. 22.º EBF prevê a retenção na fonte de imposto (em sede de IRC) com carácter liberatório sobre os dividendos recebidos de sociedades portuguesas a favor de OIC (Organismos de Investimento Coletivo) não residentes em Portugal e estabelecidos noutros países da União Europeia. Em contrapartida, os OIC constituídos ao abrigo da legislação fiscal portuguesa e residentes fiscais em Portugal poderiam beneficiar de uma isenção de retenção na fonte sobre tais rendimentos

Em causa, no processo principal, estava um litígio respeitante a um pedido de anulação de atos que procederam à retenção na fonte dos dividendos pagos à recorrente no processo principal por sociedades estabelecidas em Portugal relativamente aos anos de 2015 e 2016, bem como à compatibilidade com o direito da União de uma legislação nacional que reserva a possibilidade de beneficiar da isenção dessa retenção na fonte aos OIC constituídos e que operam de acordo com a legislação portuguesa ou cuja entidade gestora opera em Portugal através de um estabelecimento estável (que não era o caso da AllianzGI-Fonds AEVN).

No fundo, a questão-alvo do reenvio prejudicial poderia enunciar-se da seguinte forma: ao prever uma retenção na fonte sobre os dividendos pagos aos OIC não residentes e reservar aos OIC residentes a possibilidade de obter a isenção de retenção na fonte, a regulamentação nacional em causa no processo principal procede a um tratamento desfavorável dos dividendos pagos aos OIC não residentes, uma vez que a estes últimos não lhes é dada qualquer possibilidade de aceder a semelhante isenção?

O TJUE procurou perceber se estaríamos perante uma restrição à liberdade fundamental da livre circulação de capitais (incluem-se aqui as restrições suscetíveis de dissuadir os não residentes de investir em dado Estado-membro ou os residentes de investirem noutros Estados). No caso em apreço, tal poderia suceder, à partida.

No entanto, o art. 65.º n.º1 al. a) TFUE estabelece o direito de os Estados-membros aplicarem as disposições pertinentes do seu direito fiscal que estabeleçam uma distinção entre contribuintes que não se encontrem em idêntica situação no que se refere ao seu lugar de residência ou ao lugar em que o seu capital é investido.

A interpretação desta disposição é muito restrita, sendo necessário que a diferença de tratamento daí decorrente diga respeito a situações que não sejam objetivamente comparáveis ou se justifique por uma razão imperiosa de interesse geral.

Ora, de acordo com a aceção jurisprudencial do TJUE, a situação de um OIC residente que beneficia de uma distribuição de dividendos é comparável à de um OIC beneficiário não residente, na medida em que, em ambos os casos, os lucros realizados podem, em princípio, ser objeto de dupla tributação económica ou de tributação em cadeia, afastando o argumento principal dado pelo Estado português.

Além disto, importou ao TJUE entender se estaríamos perante alguma razão imperiosa de interesse geral como alegado pelo Estado português, a coerência do sistema fiscal e necessidade de preservar uma repartição equilibrada do poder de tributar entre a República Portuguesa e a República Federal da Alemanha dado ser a sede do OIC AllianzGI-Fonds AEVN. No entanto, esta perspetiva não foi acolhida.

Neste sentido, o TJUE  decidiu declarar que “o artigo 63.º TFUE deve ser interpretado no sentido de que se opõe a uma legislação de um Estado-Membro por força da qual os dividendos distribuídos por sociedades residentes a um organismo de investimento coletivo (OIC) não residente são objeto de retenção na fonte, ao passo que os dividendos distribuídos a um OIC residente estão isentos dessa retenção”.

Como tal, a dispensa de retenção na fonte prevista para OIC portugueses deveria também ser aplicada a OIC não residentes, sob pena de violação da liberdade fundamental de circulação de capitais, em linha com uma posição que já vinha a ser defendida por vários tribunais arbitrais portugueses e, podendo, consequentemente, introduzir grandes diferenças naquilo que ao tratamento da questão diz respeito.